Standard Postscreen Integration in Keyhelp

[Ralph]

Wer ein System mit vielen Mailkonten bertreibt sollte ja mittlerweile festgestellt haben was derzeit an heftigen brutalen Attacken abgeht und Spamassassin oder Rspamd da gar nicht mehr dagegen halten können ...

Dabei ist das gute alte Postscreen eine echte Hilfe um wirklich viel Crap gezielt zu blocken ohne false-positives und um somit das komplette System zu entlasten.
Ich verwende es jetzt seit ca. 8 Monaten (auf Debian 11 und 12) und bin total begeistert, also ich spreche jetzt hier bei diesem Funktionswunsch nicht für mich sondern für alle KH User die mit dem Postscreen Setup nicht wirklich klar kommen oder überfordert sind.

Könnte man Postscreen denn nicht per Default bei der KH Installation gleich mit aktivieren?

Rspamd ist schon eine Steigerung gegenüber Spamassassin, vor allem gibt es keine MySQL Abstürze mehr die durch Amavis verursacht wurden, allerdings ist Rspamd auch noch nicht wirklich voll ausgereift und erfordert immer wieder sehr viel eingreifen auch bei black & whitelistings.

Meine persönliche Wunsch Konfiguration wäre eine Kombi aus Postscreen, spamass-milter und clamav-milter ohne Amavis .... es läuft aber auch bestens neben Rspamd.

Also NUR die reine Postscreen Integration im KH wäre bereits ein sehr effektiver und stabiler Spam und Malware Killer.
Vom Aufwand her wäre es schnell in die KH configs integrierbar ...

[Jolinar]

+1

[Ralph]

Ich mache hierzu einen Rückruf, das Grundsystem ist soweit sehr gut aufgestellt und ich möchte mich nicht bei der Entwicklung aufdrängen.
Postscreen kann jeder selbst nach belieben aktivieren, ich verwende es neben Rspamd und es funktioniert mit dem Basic KH System problemlos.

[Jolinar]

Ich mache hierzu einen Rückruf ... ich möchte mich nicht bei der Entwicklung aufdrängen

Moment...
Nur weil du an anderer Stelle mal kritisiert wurdest, mußt du hier nicht die Mimose raushängen lassen und einen sinnvollen Funktionswunsch abwürgen

Ich würde es auf jeden Fall begrüßen, wenn Postscreen ein integraler Bestandteil des KeyHelp Setups werden würde.

Für alle, die noch nicht so viel Berührung mit Postscreen hatten, möchte ich das auch gerne begründen...Die Integration würde eine zusätzliche Sicherheitsschicht im System etablieren, denn aufgrund der Arbeitsweise von Postscreen kann es parallel zu anderen Sicherheitsmaßnahmen betrieben werden und ergänzt bzw. verbessert dadurch die Security des Gesamtsystems.
Das mit dem "Ergänzen" kann man hier durchaus wörtlich nehmen...Denn die Prüfungen durch Postscreen erfolgen schon vor der Annahme der Mail durch den Mailserver...Das bedeutet im Umkehrschluß, daß weniger Mails durch die weiteren Schutzmaßnahmen geprüft werden müssen und so das Gesamtsystem vom Ressourcenverbrauch her deutlich entlastet wird.

Weiterhin sollte hier nicht unerwähnt bleiben, daß der Konfigurationsaufwand für Postscreen absolut minimal ist. Es muß lediglich im Mailserver aktiviert werden und es müssen entsprechende BL/WL definiert werden.

[Ralph]

Na ja, integriert ist es ja ohnehin es müsste nur aktiviert werden und die master.cf nach Updates sollte dann erhalten bleiben.
Der Vorteil wäre Rspamd könnte toleranter eingestellt werden da kommt es in der Tat öfter zu einigen false/positive listings, Postscreen hält also jede Menge echter DNSBL listings ab und das Rspamd (spam) Limit könnte höher gesetzt werden.

Folgendes Beispiel macht schon einen ganz guten Job.
main.cf

Code: Select all

smtpd_recipient_restrictions =  ... , reject_rhsbl_helo dbl.spamhaus.org, reject_rhsbl_reverse_client dbl.spamhaus.org, reject_rhsbl_sender dbl.spamhaus.org, check_policy_service unix:private/policy

# postscreen
postscreen_dnsbl_action = enforce
#postscreen_dnsbl_allowlist_threshold = 0

postscreen_dnsbl_sites =
        list.dnswl.org=127.0.[0..255].0*-2
        list.dnswl.org=127.0.[0..255].1*-4
        list.dnswl.org=127.0.[0..255].2*-6
        list.dnswl.org=127.0.[0..255].3*-8
        zen.spamhaus.org=127.0.0.9*25
        zen.spamhaus.org=127.0.0.3*10
        zen.spamhaus.org=127.0.0.2*5
        zen.spamhaus.org=127.0.0.[4..7]*3
        zen.spamhaus.org=127.0.0.[10..11]*3
        swl.spamhaus.org*-10,
        bl.mailspike.net=127.0.0.2*10
        bl.mailspike.net=127.0.0.10*5
        bl.mailspike.net=127.0.0.11*4
        bl.mailspike.net=127.0.0.12*3
        bl.mailspike.net=127.0.0.13*2
        bl.mailspike.net=127.0.0.14*1
        wl.mailspike.net=127.0.0.16*-2
        wl.mailspike.net=127.0.0.17*-4
        wl.mailspike.net=127.0.0.18*-6
        wl.mailspike.net=127.0.0.19*-8
        wl.mailspike.net=127.0.0.20*-10
        hostkarma.junkemailfilter.com=127.0.0.2*4
        db.wpbl.info=127.0.0.2*2
        dnsbl.dronebl.org*2 
        backscatter.spameatingmonkey.net*2
        bl.ipv6.spameatingmonkey.net*2
        bl.spameatingmonkey.net*2
        bl.spamcop.net*2
        ix.dnsbl.manitu.net*2
        dnsbl-1.uceprotect.net*2
        all.spamrats.com*2
        wormrbl.imp.ch*7
        spamrbl.imp.ch*2
        psbl.surriel.com*2
        torexit.dan.me.uk*2
        tor.dan.me.uk*1

postscreen_dnsbl_threshold = 3
postscreen_pipelining_enable = no
postscreen_non_smtp_command_enable = no
postscreen_bare_newline_enable = no
postscreen_dnsbl_whitelist_threshold = -4

postscreen_access_list = permit_mynetworks cidr:/etc/postfix/postscreen_access.cidr
postscreen_blacklist_action = drop
postscreen_greet_action = enforce

Beispiel postscreen_access.cidr whitelist

Code: Select all

#permit internal IP addresses
xxx.xxx.xxx.xxx/32           permit
xxxx:xxx:xxx:xxxx::1/128     permit
#paypal
64.4.240.0/21             permit
64.4.248.0/22             permit
...

master.cf

Code: Select all

#smtp       inet  n       -       -       -       -       smtpd
smtp      inet  n       -       -       -       1       postscreen
smtpd     pass  -       -       -       -       -       smtpd
dnsblog   unix  -       -       -       -       0       dnsblog
tlsproxy  unix  -       -       -       -       0       tlsproxy
smtps      inet  n       -       -       -       -       smtpd